kiste
07.02.2017
view6345
view6
0
Goto Top

Site-to-Site VPN zwischen Sonicwall TZ 205 und Fritzbox 7580 Verbindungsabbruch

FrageNetzwerkeRouter, Routing
Hallo Kollegen,
ich habe ein VPN zwischen einer Sonicwall TZ 205 und einer FB 7580 (FRITZ!OS 06.54) aufgebaut.
Die Verbindung wird erfolgreich hergestellt. Doch die Verbindung bricht jedoch mehrfach ab und
baut sich dann nicht immer zuverlässig wieder auf. Im Log in der FB ist dann zu lesen:

1lifetime expired und IKE Error 0x2026

Hier meine CFG aus der FB.

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "remote.XXXXXXXX.de";  
                localid {
                        fqdn = "XXXXXXXXX.info";  
                }
                remoteid {
                        fqdn = "remote.XXXXXXXX";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "%XXXXXXXXXXXXXXXXX";  
                cert_do_server_auth = no;
                keepalive_ip = 192.168.1.250;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";  
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}



// EOF


Und so sieht es auf der Sonicwall aus:
sonicwall vpn2
sonicwall vpn1
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 328711

Url: https://administrator.de/contentid/328711

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
Kraemer
Kraemer 07.02.2017 aktualisiert um 19:41:31 Uhr
Goto Top
Moin,

Zitat von @Kiste:
1lifetime expired und IKE Error 0x2026

ein recht bekannter Fehler bei dem man die nur schwer konkret helfen kann. Da heißt es ausprobieren. Verschiedenste Konfigs und Ansätze findest du mit der Fehlermeldung bei Google.
Für die Zukunft: Es ist essentiell bei solchen Fragen die verwendeten Firmwarerevisionen mit aufzuführen. Gerade AVM hat bei Fritz in den letzten Jahren ordentlich am VPN "herumexperimentiert"

Gruß Krämer
Kiste
Kiste 07.02.2017 um 19:55:24 Uhr
Goto Top
Hi Krämer,
danke für die Info. Dann werde ich mal suchen. Fritzbox Firmware steht direkt in der 1. Zeile oben face-smile

Gruß Tim
Kraemer
Kraemer 07.02.2017 um 20:08:30 Uhr
Goto Top
Zitat von @Kiste:
Fritzbox Firmware steht direkt in der 1. Zeile oben face-smile
und die der Sonicwall? face-wink
chgorges
chgorges 07.02.2017 um 22:05:03 Uhr
Goto Top
Wenn die Fritzbox und die SonicWall auf der jeweiligen Seite mit ihrem "Hintern" im Internet hängen, dann NAT-Traversal (nat-t) deaktivieren. Zumindest auf der Fritzbox wird es als active deklariert.
Zudem ist bei der Fritzbox nicht zu erkennen, ob die IKEv1 macht. Der Aktualität der FritzBox-Firmware wegen bezweifel ich aber, dass man dort IKEv1 nutzen kann, bzw. dass von Haus ziemlich sicher nur noch IKEv2 auswählbar ist.
Kiste
Kiste 15.02.2017 um 09:13:13 Uhr
Goto Top
Hi,
interessant ist auf jeden Fall das eine kurze deaktivieren / Aktivierung der VPN Verbindung auf der Fritzbox ausreicht damit die VPN Verbindung sich direkt wieder sauber aufbaut. Ich werde mir die Geschichte mal mit dem NAT Traversal anschauen.

Gruß Tim
Kiste
Kiste 17.02.2017 um 07:08:08 Uhr
Goto Top
Moin,
also NAT-T habe ich an der Sonicwall deaktiviert. Leider ohne Erfolg. Bei der FB ist mir nicht bekannt dass ich das abschalten kann oder?

Gruß Tim
FrageNetzwerkeRouter, Routing
Mehr von KisteKisteRDS Windows Server 2016 Keine AudiozeichnungKiste - 5 KommentareKisteRDS Sammlung keine RDP Verbindung auf bestimmten Terminalserver möglich Häufig doppelte Server Anmeldung nötigKiste - 10 KommentareKisteDCOM-Serverprozess Widows Server 2016 50 Prozent CPU AuslastungKiste - 3 KommentareKisteSpeedport W724 V, Sonicwall VPNKiste - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare